Je hoeft geen beginneling te zijn om gehackt te worden.

Het kan iedereen overkomen. Vraag het maar aan Mark Cuban, die al Web3-savvy was voordat het Web3 heette, en wie vorige maand $ 870,000 verloren bij een cryptohack. Of zelfs Vitalik Buterin, die het slachtoffer werd van een simkaart gehackt en had $ 691,000 gestolen van zijn volgelingen. Met één schattinghebben crypto-hacks alleen al in 1 $2023 miljard gestolen.

Hoe komt het dat dit nog steeds gebeurt? Zouden we, gezien het feit dat de ruimte nu meer dan tien jaar oud is, niet allemaal beter moeten weten? En wat zijn de onderliggende redenen voor de voortdurende diefstallen, oplichting en schaamte?

Snel bewegende technologie

“We zullen dit probleem altijd blijven houden”, zegt Steven Walbroehl, hoofdveiligheidsfunctionaris van Halborn, een op blockchain gericht cyberbeveiligingsbedrijf. Eén reden is dat de industrie (en de technologie) altijd verandert. Wanneer de technologie wordt bijgewerkt en nieuwe code in een sprint wordt gepusht, zegt Walbroehl, "krijg je de hele dag geavanceerde aanvallen."

Dan zijn er de financiële prikkels. Hackers hebben meer redenen om in crypto in te breken dan traditionele financiële instellingen, vanwege het potentieel voor grote winsten. Als je een hacker bent die creditcardgegevens probeert te stelen, zegt Walbroehl, dan moet je, zelfs als je hierin slaagt – en het is een moeilijkere noot om te kraken – de buit op darkweb-marktplaatsen verkopen. Dat is een hele klus. En het is niet bijzonder lucratief, aangezien elke creditcard u mogelijk slechts $ 2 oplevert. Maar als je iemands MetaMask-portemonnee leegmaakt? Jaag op het juiste doelwit en dat is gemakkelijk $ 2 miljoen.

Of zoals Eric Michaud, CEO van Unciphered, een beveiligingsbedrijf dat verloren cryptovaluta terugkrijgt, het stelt: Bij crypto-hacking is “het sap de moeite waard.”

Voor Michaud is het niet ingewikkeld. Het komt neer op wat meesterdief Willie Sutton zou hebben gezegd toen hem werd gevraagd waarom hij banken beroofde: "Omdat daar het geld is." En als het voelt dat de oplichting steeds slimmer en geniepiger wordt, is dat omdat ze dat ook zijn. Hiervoor kunnen we AI bedanken.

Dmitriy Budorin, CEO van crypto-beveiligingsbedrijf Hacken, legt uit hoe een veel voorkomende zwendel werkt: “Je favoriete cryptoproject heeft een speciale aankondiging en je gaat naar hun website”, zegt hij. De website ziet er normaal uit. Je ziet een Airdrop voor een nieuw token, je klikt erop en je koppelt je MetaMask-portemonnee. Maar de website is een kwaadaardige, geniale parodie. “Door simpelweg uw MetaMask-portemonnee aan te sluiten en op één knop te drukken, raakt uw account leeg”, zegt Budorin, wat in wezen is wat er met Mark Cuban is gebeurd.

De rol van AI hierin? Dankzij de tovenarij van tools als ChatGPT kunnen hackers een eindeloze voorraad blogposts, commentaren, veelgestelde vragen en websiteteksten tevoorschijn toveren die vroeger (vorig jaar) een eeuwigheid zouden hebben geduurd om te creëren. Nu zien deze nepwebsites er goed gevuld en legitiem uit.

“Deze hackers zijn experts op het gebied van menselijk gedrag”, zegt Budorin. “Ze weten precies hoeveel seconden iemand een website gebruikt om te verifiëren of deze legitiem is.”

Dus als de hackers vaststellen dat de gemiddelde persoon 15 seconden besteedt aan het rondneuzen op een site voor due diligence, zullen ze genoeg door AI gegenereerde inhoud creëren om ze 15 seconden bezig te houden. Dit kunnen valse Help-artikelen, valse gebruikers en valse reacties zijn.

Sommige nepsites gebruiken zelfs AI om realtime hulpchatbots aan te sturen – en als ultieme ironie kunnen ze je advies geven om je te ‘helpen’ om oplichting te voorkomen. Al deze nep-inhoud op basis van AI is de reden dat het spel in 2023 zo dramatisch is veranderd. Maanden geleden was het een stuk eenvoudiger om phishing-fraude te detecteren, zegt Michaud. “Nu is het ongelooflijk moeilijk. Het is niet eerlijk."

Wat de oneerlijkheid nog groter maakt, is dat het nu gemakkelijker is voor oplichters om hun ding te doen op X, voorheen Twitter. “Dit soort aanvallen is aanzienlijk toegenomen, vooral nadat Elon Musk de censuur [op X] [effectief] heeft geannuleerd”, zegt Budorin. Hoewel het misschien de bedoeling van Musk was om de bots te verpletteren, kan nu iedereen $ 8 betalen voor Twitter Blue en zich voordoen als de hoofden van cryptoprojecten. Budorin zegt dat zelfs zijn vrouw een NFT verloor door op een nep-Airdrop te klikken. Het kan gemakkelijk zijn om voor de gek gehouden te worden. “Mensen zijn mensen”, zegt Budorin. “Soms verliezen ze gewoon hun aandacht.”

De opkomst van crypto-hacks loopt parallel met de groei van gedecentraliseerde financiering (DeFi). Het is waar dat onderling verbonden DeFi-protocollen kunnen helpen het vet uit traditionele financiën te halen, transacties te versnellen en nieuwe soorten financiële instrumenten te ontsluiten die anders nooit zouden kunnen bestaan. Maar het is ook waar dat ze kwetsbaarheden bevatten. “Complexiteit is de vijand van veiligheid”, zegt Walbroehl. “Hoe meer dingen je in de keten hebt, en hoe meer DeFi-componenten je hebt, je zult meer hacks krijgen. Dat is gewoon een feit.” Bewijsstuk A: DeFi-geldverstrekker Euler is gehackt in maart en verloor $ 197 miljoen.

Gedragseconomie en de menselijke geest

Maar uiteindelijk zou de kern van hacks in de kern meer te maken kunnen hebben met de menselijke psychologie dan met welke coderegel dan ook. Velen in crypto – en de meeste OG’s – zijn geanimeerd door het idee dat we financiële instellingen niet volledig moeten vertrouwen en dat je “wees je eigen bank.” Het idee heeft een zekere romantiek. Maar de realiteit is dat de gemiddelde persoon veel minder effectief is op het gebied van beveiliging dan de gemiddelde bank, en ik ben ervan overtuigd dat er veel meer geld verloren is gegaan door crypto-hacks, oplichting of nalatigheid (zoals het verliezen van een portemonnee) dan door het verliezen van stortingen bij de Wells Fargo's van de wereld.

De wetenschap van de gedragseconomie en risicoanalyse helpt deze dynamiek te verklaren. De meesten van ons werken met bepaalde vooroordelen, en deze vooroordelen hebben invloed op onze beslissingen. Eén vooroordeel is oververtrouwen. “De meeste mensen denken dat ze in veel dingen beter zijn dan ze zijn”, zegt Hersh Shefrin, een econoom en expert op het gebied van risico- en gedragsfinanciering.

In een vaak geciteerde Zweedse studieZo werd mensen gevraagd of ze denken dat ze een betere of slechtere chauffeur zijn dan de gemiddelde mens. De meeste mensen zeiden dat ze boven het gemiddelde zaten, wat statistisch gezien natuurlijk onmogelijk is. (Het gemiddelde zou het gemiddelde moeten zijn.) Het is misschien niet verrassend dat vooral mannen te veel vertrouwen hadden in hun rijvaardigheid.

Eén psychologische factor die kan helpen bij het verklaren van het slachtoffer worden van crypto-hacks: we denken dat we beter zijn in beveiliging dan we in werkelijkheid zijn. Een ander probleem is de controlekwestie. “We denken dat we meer controle hebben dan wij. Dat is de illusie van controle”, zegt Shefrin. Hij voegt eraan toe dat we ook optimistischer zijn over de dingen die we onder controle hebben – deels omdat we zo veel vertrouwen hebben in ons vermogen – wat ons vermogen om risico's correct te analyseren in gevaar brengt.

We overschatten waarschijnlijk het risico dat ons geld verloren gaat (of wordt gestolen) door een financiële instelling en onderschatten het risico van onze eigen ongelukken. “Mensen proberen zichzelf te beschermen tegen de verkeerde dreigingsniveaus”, zegt Michaud. “Ze zijn bezorgd dat de overheid hun crypto komt halen, terwijl het realistischer is dat je je duistere stappen voor wachtwoordherstel gaat vergeten.”

Dit doet mij, naar analogie, denken aan een klassiek onderzoek naar de risico’s na 9 september. Direct na de terroristische aanslagen waren veel mensen bang om met het vliegtuig te reizen, omdat vliegtuigen tegen gebouwen zouden kunnen botsen. Dus maakten ze in plaats daarvan autoritten. De tragische ironie is dat academici maanden later analyseerde de gegevens en ontdekte dat er veel meer auto-ongelukken plaatsvonden dan normaal. Dit komt omdat autorijden veiliger kan aanvoelen dan vliegen – omdat jij de controle hebt! – maar de wiskunde zegt dat het veel riskanter is.

Het is duidelijk dat crypto geen leven of dood is, en ik zeg dit niet om crypto te roosteren of om te betogen dat het kopen ervan gevaarlijk is. (Ik ben een HODLer.) Maar om een ​​echte wijdverbreide adoptie te bereiken, zou het nuttig kunnen zijn om duidelijk over de risico's te spreken, de verdiensten van onze eigen ‘controle’ ter discussie te stellen en zich af te vragen of het werkelijk zinvol is dat iedereen zijn/haar eigen bank.